Feb 10: Auf GitHub gelandete iBoot-Komponente wurde ohne böse Absichten veröffentlicht
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
In den vergangenen Tagen sorgten neben dem HomePod vor allem Meldungen für Schlagzeilen, dass der Quellcode der iBoot-Komponente von iOS 9 von Unbekannten auf GitHub veröffentlicht wurde. Während dies grundsätzlich ein Problem darstellt, da Hacker und Sicherheitsforscher diesen ansonsten geheimgehaltenen Code auf Schwachstellen prüfen konnten, die für einen Jailbreak oder einen Angriffsvektor genutzt werden könnten. Apple hat jedoch inzwischen verlauten lassen, dass kein Anlass zur Sorge bestehe, da man sich bei seinen Sicherheitsmaßnahmen nicht allein auf die Geheimhaltung des Quellcodes verlasse.
Die Kollegen von Motherboard haben sich nun einmal der Frage angenommen, wie der Code überhaupt auf GitHub gelangen konnte. Bei ihren Recherchen kamen sie in Kontakt mit einer Gruppe von Programmierern, deren Freund in einer recht niedrigen Position bei Apple arbeitet. Von ihm hatten sie den Code bereits im Jahr 2016 bekommen, um nach Möglichkeiten für einen Jaiulbreak zu suchen. Dabei ging es ausdrücklich nicht darum, Apple eins auszuwischen oder einen iOS-Hack zu entwickeln. Man wollte lediglich der Jailbreak-Community helfen. Insgesamt sollen zunächst lediglich fünf Leute in Besitz des Codes gewesen sein. Dieser wurde zudem deutlich reduziert, so dass unter anderem sämtliche Apple-internen Tools aus ihm entfernt wurden.
Während es nicht die Absicht der Gruppe war, den Code öffentlich zu machen, sickerte er (auf welche Art und Weise auch immer) schließlich Anfang dieses Jahres durch. Vor allem fürchtete man dabei die Rechtsmittel, die Apple gegen die Freunde geltend machen könnte, sollte die Geschichte herauskommen.
Bei dem auf GitHub gelandeten Code handelte es sich der Auskunft der Gruppe zufolge nicht um den kompletten Leak, sondern nur um eine Kopie davon, in der einige wichtige Komponenten fehlen. Auch aus diesem Grund gibt es für den Otto-Normal-User keinen Grund zur Besorgnis und Meldungen über den "biggest leak ever" sind deutlich zu weit hergeholt.
#1 - Marco 10.02.2018 11:37 - (Antwort)
Wow! "Ohne böse Absicht", soso... der ganze Code-Batzen ist ihm also versehentlich und unbemerkt auf den USB-Stick gesprungen, was? 😊 😊
#1.1 - Marco 10.02.2018 11:40 - (Antwort)
Übrigens: "Dieser wurde zudem deutlich reduziert, so dass unter anderem sämtliche Apple-internen Tools aus ihm entfernt wurden."
Das steht so nicht in der Quelle, im Gegenteil: "He pulled everything, all sorts of internal Apple tools and whatnot."
#4 - SOE 10.02.2018 13:03 - (Antwort)
Wie oft sollen ich und andere eigentlich noch sagen, dass die Veröffentlichung von Code nur für die Leute ein Problem darstellt, die glauben, Geheimhaltung wäre ein ausreichender Sicherheitsfaktor?
IST ES NICHT!
Dieses Prinzip ist zum Scheitern verurteilt, siehe E-Postbrief, Fireeye oder ganz aktuell das beA.
The enemy knows the system.
Wer glaubt ein System ist sicher, weil er nichts von der Architektur verrät, glaubt auch, seine Tür wäre sicher, weil er den Schlüssel unter der Fussmatte versteckt hat.
Andersrum geht es natürlich auch:
Der sicherste Verschlüsselungsalgorithmus ist AES. Und zwar, weil er sich in öffentlicher(!) Ausschreibung im Wettbewerb(!) behaupten musste und man so Fehler finden oder direkt verhindern konnte. Das ist weiterhin ein Novum und war damals die Rettung der Computerverschlüsselung.
Flo, gerade Du solltest (durch Apple) doch wissen, dass Geheimhaltung noch so gut sein kann, Leaks trotzdem nicht zu verhindern sind. Für die Politik gilt das natürlich auch, siehe Manhattan oder Echelon. Und ich will jetzt endlich wissen, wieso der Leak "grundsätzlich" ein Problem darstellt.
Alle Links in den AppStore, den, Mac AppStore den iBookstore oder iTunes Store sind Partnerlinks. Wer hierüber einkauft, unterstützt Flo's Weblog mit einen kleinen Prozentsatz des unveränderten Kaufpreises. Selbes gilt auch für Einkäufe bei Amazon und weiteren ähnlichen Anbietern. Über den PayPal-Button unter diesem Text und die Spenden-Funktion innerhalb der App besteht ebenfalls die Möglichkeit, Flo's Weblog finanziell zu unterstützen. Ich bedanke mich schon jetzt für die Unterstützung!
Impressum | Datenschutz
© by Florian Schimanke | Template based on Andreas08